فرمت فایل :power point (قابل ویرایش) تعداد صفحات :۳۸ صفحه
بخشی از اسلایدها:
ISMS چیست؟
مجموعه ای از سیاست ها و پروسه هایی است که برای مدیریت داده های حساس یک سازمان، ، به طور سیستماتیک، استفاده می شود.
هدف ISMS کمینه کردن ریسک است
ارزیابی مخاطرات:
گام اول: شناخت دارایی ها
گام دوم: ارزش گذاری دارایی ها
گام سوم: تعیین آسیب پذیری
گام چهارم: محاسبه تهدید
گام پنجم: محاسبه میزان ریسک
تعاریف استفاده شده در این مستند از ISO/IEC TR 13335-1 اخذ شده است
شناخت دارایی ها:
کلیه دارایی ها شناخته شده و در ۵ گروه طبقه بندی می شود.
دارایی های اطلاعاتی
فایل های الکترونیکی، پایگاه های داده مربوط به نرم افزارهای موجود در سازمان
دارایی های کاغذی
مستندات مکتوب مانند قراردادها، راهنماهای کاربری و ...
دارایی های پرسنلی
کارمندان، کارشناسان و مدیران
دارایی های نرم افزاری
نرم افزارهای کاربردی، سیستم های عامل و . . .
دارایی های سخت افزاری
تجهیزات مرتبط با فناوری اطلاعات مانند: سرور، سوییچ، روتر و .
ارزش گذاری دارایی ها:
از سه مولفه استفاده می شود.
ارزش هر دارایی ترکیبی از میزان اهمیت هر یک از مولفه ها برای آن دارایی می باشد.
محرمانگی (Confidentiality)
امکان دسترسی به اطلاعات و دارایی ها فقط برای افراد مجاز
صحت (Integrity)
حفظ دارایی ها و درستی و کامل بودن آنها
دسترسی (Availability)
امکان دسترسی به دارایی ها توسط افراد مجاز در زمان مورد نیاز
انواع آسیب پذیری:
آسیب پذیریهای داراییهای اطلاعاتی
نگهداری نامناسب یا جایگذاری نامناسب رسانه های ذخیره سازی
فقدان پیگیری ممیزی
آموزش ناکافی امنیتی
فقدان نسخه های پشتیبان
فقدان مکانیزم های شناسایی و اعتباردهی مانند مجوزدهی به کاربر
فقدان شناسایی و اعتبار دهی به فرستنده و گیرنده
فقدان مکانیزمهای نظارتی
فقدان خط مشی هایی برای استفاده صحیح از رسانه های مخابراتی و پیام رسانی
عدم قابلیت اثبات ارسال یا دریافت یک پیام
فقدان آگاهی رسانی امنیتی
مدیریت ضعیف کلمات عبور
حساسیت به تشعشع الکترو مغناطیسی
انتقال کلمات عبور به صورت Clear Text
نسخه برداری کنترل نشده
پاورپوینت درباره ISMS